密码风险不容忽视,筑牢密码安全防线
在当今的数字化社会,密码作为个人和商业信息安全的关键,其重要性不容忽视。随着互联网和数字技术的广泛应用,密码已成为大众信息系统和平台的核心防护机制。尽管密码的重要性人尽皆知,但许多个人和企业在密码管理方面依然存在严重漏洞,使用简单易猜的“弱口令”成为了信息安全的重大漏洞,甚至会引发重点涉密部门的信息泄露风险。近期,国家安全机构曝光的一系列密码安全事故,向我们发出了严肃的警示。企业需要采取更有效的密码管理措施,筑牢信息安全的第一道防线。
01.企业遇到的挑战
内部数据泄露由于网络管理员未及时删除测试账号,且账号具备管理员权限,密码易猜解,导致客户数据泄露。并且密码强度不足就会是另一个明显的问题。管理员账号通常具有极高的操作权限,如果密码设置过于简单,极大地降低系统的整体安全性,使其更容易受到外部攻击者的攻击和利用。客户数据的泄露不仅会给公司造成严重损失,还可能带来巨大的经济损失和法律风险。在数据隐私和安全性备受关注的背景下,此类事件可能会引发监管机构的调查和处罚此外,客户对数据隐私的高度重视也使得此类事件极易引发客户信任危机,导致客户流失和市场稳定性的下降。
邮箱数据被窃取邮件系统是企业通信的核心之一,通常包含大量敏感信息,如内部机密、商业合同、财务报告和客户沟通记录。这些数据一旦被外部黑客获取,可能面临严重的后果,包括企业信息外泄、商业秘密被盗、客户数据丢失,甚至可能引发法律诉讼。某单位公用邮箱使用固话号码作为密码,长期未修改,结果被境外黑客破解,邮件数据被盗 。使用电话号码作为密码本身就极为不安全。固定电话号码是公开信息,很容易通过简单查询或社交工程手段获取。黑客利用这一点,通过暴力或破解其他技术手段,很容易入侵该邮箱系统。随着时间的增加,弱密码的风险成倍增加,黑客入侵的原因也随之而来。
监控系统遭攻击默认密码是系统在初始设置时使用的简单密码,通常为公开信息,很容易被黑客通过互联网搜索或猜测到。黑客能够轻松绕过系统防护措施,获取对监控系统的完全控制权。一旦监控系统被攻破,黑客就可以实时监视摄像头的画面,跟踪公司的内部动向,甚至可能获取到敏感的数据信息。报道中提及的跨境物流公司,监控系统收到攻击,可能引发严重的商业后果,例如盗窃、走私等犯罪活动。严重的是,如果黑客将这些数据泄露或提供给境外势力监控,可能导致敏感的国家安全信息外泄,威胁国家的经济与边境安全。
02.国家安全机关提示
数字化时代,有关单位和个人应提高信息安全意识,履行网络安全义务,增强网络防护,避免使用弱口令,防止数据被窃取、泄露,影响国家安全。
使用复杂密码。设置密码长度至少为8位,宜同时包含大小写字母、数字、特殊字符,提高密码的复杂度,不使用设备或账户初始密码及常见的弱口令密码。
定期更改密码。设置复杂密码后,并非一劳永逸,随着时间的推移,密码仍存在被破译的可能性。重要网络信息系统应定期(至少3个月内)进行密码更改,同时要避免数套密码轮换修改。
避免密码串用。在不同平台及系统避免使用相同的密码,防止一个密码泄露后其他系统被“撞库”攻击连带攻破,导致泄密面进一步扩大。
定期检查账户状态。计算机系统及网络账户通常具备安全审计功能,可查询历史异常记录,定期检查日志,及时发现账户异常行为,防止因密码泄露导致内部数据、信息被持续窃取。
加强技术防范措施。反间谍安全防范重点单位应当按照反间谍技术防范的要求和标准,采取相应的技术措施和其他必要措施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。
03.基于 Authing 打造密码基础支撑设施底座灵活配置密码规则
禁止弱密码
为了进一步提高密码安全性,可以禁止用户使用常见的、容易被猜测的密码组合,如 “123456”、“password”、“admin” 等。这些密码往往是攻击者首先尝试的目标,极易被破解。因此,系统在用户设置或更改密码时,应进行实时检测,禁止使用已知的弱密码和常见的组合,提醒用户选择更为复杂和安全的密码。
密码强度设置
根据企业的实际需求,密码位数可以灵活设置在 1-35 位之间,自由调整密码的长度要求。并且 Authing 支持多种密码复杂度要求类型,包括数字、大写字母、小写字母、符号等。企业可以根据自己的安全标准和政策要求,灵活选择密码复杂度类型,并根据实际情况进行组合设置,满足企业不同层次的安全需求,保障账户和系统的安全性,有效防范各类安全威胁和攻击。
可校验密码强度校验密码强度是确保用户设置的密码足够安全的重要手段。密码强度校验机制可以通过评估密码的长度、复杂度、字符多样性等因素,实时给出密码强度的评分或提示。例如,当用户输入密码时,系统可以即时显示密码强度指示器,提示密码的安全等级,如“弱”、“中”等。通过这种实时反馈机制,用户可以直观了解其密码的安全性,并及时做出调整,从而提高整体密码的防护能力。
密码全生命周期管理Authing 基于“国产商用密码”技术,构建全生命周期安全防护和管控机制,为各行各业实现数智化发展保驾护航,符合信创、等保、密评等要求。密码全生命周期管理涉及从密码创建、使用、到废弃的整个过程,确保密码在整个生命周期内始终保持高水平的安全性。
强制修改密码周期
为了提高账户安全性,系统应实施强制修改密码周期的策略。这意味着用户必须在一定的时间间隔内更改他们的密码,例如每 90 天或 180 天。强制修改密码周期可以有效减少因长期使用相同密码而带来的安全风险,防止潜在的密码泄露或被破解的可能。实施这一策略时,Authing 能确保用户在周期结束前能够顺利完成密码修改过程,避免因忘记修改而导致的账户锁定或其他使用不便。
密码不可重复周期为防止用户频繁重复使用相同的密码,企业可以添加设置密码不可重复周期,确保在一定时间内或在一定次数的密码更换内,用户不能使用以前使用过的密码。例如,可以规定用户在过去的 5 次密码修改中,不能重复使用任何一个之前使用过的密码,能够防止用户因懒惰或记忆力问题而重复使用旧密码,提升企业内应用系统安全性。
密码到期提示
Authing 为企业提供密码到期提示功能,在用户密码即将过期时提前通知用户。我们一般会在密码到期前的 7 天、3 天和 1 天进行提示,以确保用户有充足的时间进行密码更新。密码到期提示可以通过多种方式通知用户,以确保用户能够及时收到提醒并采取行动。常见的通知方式包括:1、电子邮件通知:发送到用户注册的电子邮件地址,包含密码即将到期的信息和修改链接。2、短信通知:通过短信发送密码到期提醒,特别适用于移动设备用户。3、系统登录提示:用户登录系统时,在仪表板或主页上显示密码即将到期的提示信息。
个性化到期提醒方式我们深知每个企业的需求各不相同,有些客户可能需要更灵活、更个性化的通知方式。因此,我们提供了 webhook 和事件支持,使企业可以根据自己的需求定制通知流程。通过 webhook,Authing 可以将密码到期提醒推送到客户的自有系统中。客户只需配置一个接收 URL,当用户的密码即将到期时,Authing 会自动发送请求到该 URL,触发客户自定义的业务逻辑,与客户现有的工作流程无缝对接,例如将提醒消息推送到企业的 OA 系统、办公软件,或触发其他内部流程。此外,Authing 还提供事件支持,允许客户订阅与密码相关的事件。这些事件可以通过我们的 API 进行订阅,当触发这些事件时,系统会自动向客户的应用发送相应的通知。客户可以基于这些事件开发更复杂的通知和处理逻辑,例如通过集成到内部系统进行二次提醒,或者结合其他安全策略进行操作。
覆盖各类应用场景密码谱系在当今数字化和信息化的世界中,不同的应用场景对密码技术有着不同的需求。为了确保各类系统和数据的安全性,需要针对性地设计和应用密码策略。
密码分级分类策略Authing 建立密码“分级分类”机制,实现密码细粒度、多层级、全过程的安全保护策略。企业可以根据不同部门和岗位的具体需求,自定义相应的密码策略,确保在满足安全需求的同时兼顾使用便捷性。密码策略依据不同的安全需求进行分类和分级。1、对于处理敏感数据和关键业务的部门,如财务、IT、研发和高层管理,要求采用高安全级别的密码策略,包括至少 12 位的密码长度、复杂度要求(必须包含大写字母、小写字母、数字和特殊字符)、每 90 天强制更换密码以及严格的账户锁定策略。2、中层管理和涉及部分敏感信息的部门,如市场、销售和客户服务。虽然不直接处理最机密的核心数据,但他们的工作涉及大量的敏感信息和业务数据,可以选择采用中高安全需求的密码策略,例如密码必须至少包含 10 位字符、每 120 天强制更换一次密码等。3、对于普通员工和不涉及敏感信息的部门,如行政、人力资源和一般运营,采用一般安全需求的密码策略,确保基本的安全性和易用性。
密码执行策略优先级判断在创建的所有密码策略中,可根据企业需求调整密码策略优先级。密码策略都会按序执行并根据设定应用于相应的部门或用户群体。如果某个密码策略在特定部门或用户群体中无效,则会继续尝试执行下一个密码策略,确保对不同部门和用户群体的特定密码需求能够得到满足。当所有特定密码策略都无法应用或无效时,将会执行最后的默认策略。
04.密码策略典型案例:某大型集团
痛点需求
系统内设置较短的密码容易被猜测或暴力破解,而过长的密码可能会使用户难以记忆。密码长度需要设置一定的范围,可以在提高密码安全性的同时,尽量减小用户记忆的负担。
为了防止用户循环使用旧密码,减少密码泄露风险。集团需要历史密码限制确保用户每次更改密码时都会选择一个新的密码,提升整体安全性。
一些字符在某些系统中可能会被误解为特殊指令或引发系统错误。密码需要强制用户限制非法字符可以避免潜在的安全风险和技术问题,确保系统的稳定性和安全性。
集团内自研上线需要一个月,周期长运维成本高,且项目时间紧迫。
解决方案
在设置密码时,可以强制用户确保密码长度在 8 至 16 位之间,保持适中的密码长度范围,既能防止密码过于简单,又能确保用户记忆的可行性。
企业设置密码不可重复周期,要求用户不能使用重复使用旧密码,确保每次密码更换都是新的组合,极大地提升了账户的安全性。
添加特殊符号策略,要求用户不能包含非法字符以及空格,避免系统误解或错误处理特殊字符,确保系统的兼容性和稳定性。
新增密码强度设置要求,密码至少包含 3 种字符,并提供适当的密码提示,用户可以轻松创建符合要求的安全密码,从而在保障账户安全的同时,提升用户的密码管理体验。
Authing 提供了一系列密码解决方案,快速、高效、安全地实现密码策略的需求。相比于传统的自研方案,Authing 可以在一周内快速完成部署,大大缩短了上线周期。企业可以更快速地响应市场变化和业务需求,避免因开发周期过长而错失商机。
·
2024.09.14
·1039 人阅读
从员工管理到组织架构优化,企业如何高效管理身份?
由于信息安全越来越被重视,企业的身份管理已经成为市场焦点,对于实施企业级安全策略和身份管理的需求随之迅速上升。在当今复杂多变的商业环境中,企业组织机构管理已成为推动业务顺畅运作的核心要素之一。企业内数字化管理是涉及企业全业务、跨职能的系统性长期工程,没有“银弹”,更不可能一蹴而就。随着企业规模的扩大和业务的多样化,如何有效管理内部的组织架构,确保各部门之间的协同与高效沟通,成为了企业管理者面临的重要挑战。
01.企业管理面临挑战
企业内结构复杂化
随着组织规模的扩大,各部门的角色和责任 也可能逐渐模糊,导致决策权责不清。不明确的职责划分往往会在实际操作中造成决策效率的下降,员工不知道该向谁汇报,谁该对某项任务负责。同时,多部门、多层级的存在,意味着管理者需要面对更多的协调和决策工作。各部门的角色和责任划分也可能变得模糊,影响决策效率,导致沟通不畅。管理不当可能会引发工作流程的混乱,降低整体生产力。信息在传递过程中逐层递减或失真,决策变得缓慢,执行的精准度也随之下降。信息流动的低效性使得管理者无法及时获取一线的反馈和真实的数据,影响整体的业务应对能力。
内部烟囱式数字化建设大型企业经常会出现部门信息无法有效共享的现象,导致“信息孤岛”的形成。各子公司由于业务架构、技术能力、区域法规等多种客观因素的差异,以及不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同,各子公司基于自身业务架构和管理需求独立建设数字化体系,同时各自独立维护各类数字化应用系统以及管理复杂的身份体系。导致在集团内部形成一个个独立的数字化孤岛,重复损耗建造、维护、迭代成本,集团难以打通各子公司数据,无法统一管理各子公司员工身份和应用系统数据。
员工变动频繁员工的频繁变动,如入职、离职以及岗位调整,给企业的组织管理带来了极大的挑战。随着企业规模的不断扩大,员工流动的频率也随之增加,每当员工的职位、角色或部门发生变化时,企业的管理者必须及时在多个系统中进行手动更新。这不仅涉及到员工的基本信息,还包括与其职务相关的权限管理、部门划分以及其他与工作内容相关的系统设置。管理员需要在不同的系统中重复输入和修改员工信息,而这些系统可能没有统一的接口或自动同步功能,导致操作的繁琐性和低效性。
02.如何通过 Authing 实现高效组织管理?
借助 Authing, 可以快速实现基于角色的访问控制(RBAC)。简单来说,RBAC 指的是通过用户的角色授权其相关权限,这相比直接授予用户权限,要更加灵活、高效、可扩展。而在现实生活中,组、角色往往是分层嵌套的,呈树状结构,最常见的就是组织机构,如公司、学校等等。一个常见的的组织机构架构如下:
一级部门有产品部、研发部、运营部、综合管理部。
一级部门下面又有二级部门,如产品部中包含产品经理和设计等。
上图是一个典型的树状结构,其中有且仅有一个根节点,一般而言,根节点就是一家公司、一个组织。每个节点对应一个分层的部门。在 Authing 中, 你可以从企业微信、钉钉、LDAP、Active Directory 等第三方用户目录导入组织机构, 我们还提供了 控制台、SDK 两种管理组织机构的方式,你可以很方便地管理成员生命周期,还可以使用 LDAP 协议对外开放组织机构数据。创建或导入组织机构如果你还没有创建自己的组织机构,我们推荐你使用 Authing 作为主的身份源,存储用户和组织机构数据;如果你在其他地方存储了自己的组织机构数据,我们也支持将第三方的组织机构数据导入或同步到 Authing。
创建组织机构你可以选择使用控制台或者 API & SDK 创建。你可以在控制台的 用户管理->组织机构 中手动创建组织机构:
添加子部门输入部门名称、部门标识符(旧版本)/ 部门 Code(新版本)(必须是唯一的合法的英文标志符)、部门描述信息即可。
导入组织机构Authing 组织机构支持从以下途径导入组织机构与用户:1、Excel2、同步中心同步(新版)企业微信、钉钉、飞书、LDAP Server、Windows 本地的 Active Directory ...你也可以使用 API & SDK,编写用户导入脚本。管理组织机构组织机构的管理包含添加子部门、修改部门、删除子部门、移动子部门、获取子部门列表、添加成员、删除成员、获取成员列表等操作,Authing 支持控制台和 API & SDK 两种操作方式。
对于 B2E 场景,在控制台左侧导航栏可以看到 组织机构->组织管理 菜单,在此可以管理组织架构及相应层级组织下的成员。对于 B2B 和 B2C 场景,可以在 用户管理->组织机构 中进行管理。
当前新旧版本组织机构功能并行,你可以根据需要选用。要切换新旧版本,可以在 组织机构->组织管理 页面点击页面右上角 切换旧版 / 切换新版 按钮。添加子部门使用控制台,你可以点击其中一个部门,选择添加子部门:
输入部门名称和部门 Code(可选)即可,也可在窗口右侧为当前子部门变更 上级部门:
修改部门在组织树中点击待编辑部门后的编辑部门按钮。
更新字段。
除了可以修改部门名称、部门 Code、部门描述,还可以更改上级部门。点击保存。删除子部门
需要注意的是,如果待删除部门下有子部门或者该部门 / 子部门下存在成员,不可直接删除部门,需要先清空所有成员,删除所有子部门。
从部门中移除成员时需要注意,仅可移除直属多个部门同时直属当前部门的成员。如果成员仅属于当前部门,不可移除;此时,只能通过办理离职将该成员从当前部门移除。
组织根节点不可删除。选中需要删除的部门,点击 删除部门 按钮即可。
移动子部门在组织树中点击待移动部门后的 移动部门 按钮。
在弹出窗口选择移至的新上级部门:
获取子部门列表你可以点击节点前的收起按钮展开当前节点,显示该节点下所有子节点。
添加成员该功能旨在在当前组织 / 部门下增加新的成员。只能增加 成员管理(对于 B2B 和 B2C 场景是 用户列表)中现有成员。要增加新成员,执行以下步骤:1、在左侧组织机构列表中选定组织 / 部门。2、点击用户列表上方 添加成员 按钮。
3、在弹出窗口左侧 用户列表 中勾选目标用户(也可通过关键字搜索)。所选用户自动添加到右侧列表中。4、点击 确定 按钮。
删除成员1、仅可移除直属多个部门且直属当前部门的成员。如待移除成员仅属于一个部门,不可移除。2、可通过先勾选用户,再点击 移除成员 进行批量移除。
若要将某成员从当前组织 / 部门中移除,执行以下步骤:1、在左侧组织机构列表中选定组织 / 部门。2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 移除成员。
获取成员列表点击组织树任意层级组织 / 部门,即可在右侧列表显示当前部门下直属或所有成员(取决于是否勾选用户列表上方 仅展示部门的直属成员)。
管理成员生命周期随着公司的发展,企业内部应用和人员数量会不断增加。不断的员工入职、离职,人员组织架构频繁调整,企业内部的应用账号体系错综复杂,管理员手动操作账号的工作量陡增。同时,缺乏统一的账号管理控制方案也会给企业安全生产带来隐患,经常出现员工离职但是应用账号未关停的安全风险案例。用自动化的账号生命周期管理(Lifecycle Management,简称 LCM) 代替手动账号管理,是将企业 IT 人员从灵活用工所涉及的繁琐复杂的身份信息管理工作中解放出来的关键,同时也可以通过及时关停人员账号和减少授权错误率来提升企业整体的业务安全系数。自动化 LCM 涵盖了员工生命周期所涉及的多个节点,从员工入职、员工在职,到员工离职,既包含了管理员的操作行为,也包含了终端用户的触发行为,具体如下:
账号生命周期管理,有以下几个优势:1、提高生产力并降低成本。2、降低复杂度。3、更为安全合规。组织管理
成员入职你可以在控制台组织机构管理页面进行成员入职操作:
你可以使用手机号或者邮箱创建账号,在成员入职窗口输入 姓名、手机号 / 邮箱,选择部门:
新加入的成员会显示在用户列表中:
点击列表中新加入成员,进入用户详情页,可对其进行角色授权和应用授权:
禁用 / 启用员工账号在出现账号被盗等紧急情况,需要临时禁用员工账号。禁用账号之后,将会自动执行以下操作:1、取消应用授权关系。2、取消策略授权关系。3、该账号无法登录。4、依旧保留部门关系。5、仍可以编辑用户信息。可以在两个路径下禁用 / 启用员工账号。
在组织管理下禁用 / 启用账号在组织管理页面点击该员工所在行 禁用账号 按钮,并在弹窗中进行确认。
你也可以在同路径下重新启用该账号:
在成员管理下禁用 / 启用账号可以在成员管理页面(对于 B2B 和 B2C 场景是 用户列表页面)点击该员工所在行禁用账号 按钮。
在确认安全后,可以在同一个路径下 启用账号。则账号权限恢复正常。
变更部门成员在职阶段,如需更换部门,可以在组织管理 页面点击 变更部门按钮,在打开窗口中勾选目标部门,也可以在搜索框进行搜索后勾选,变更部门会显示在窗口右侧列表中:
设置主部门如果当前成员属于多个部门,可以设定一个为主部门。为此,只需在上面变更部门窗口右侧部门列表中点击设为主部门,然后点击确定:
也可在 组织管理 页面用户列表中点击目标成员所在行 设置主部门 按钮:
然后在打开窗口选择并确定主部门:
设为负责人你可以为不同层级的组织 / 部门设定负责人。可以跨部门设置负责人。但只有在所选人为被选部门直属成员时才会打上负责人标签。有两种方式设置部门负责人:在组织树中点击待设定部门后更多按钮,选择 设置部门负责人。
在组织对应的用户列表中设定负责人:1、在左侧组织机构列表中选定组织 / 部门。2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 设为负责人。
则所选成员成为该组织 / 部门的负责人。
办理离职可以在 组织管理 页面为员工办理离职。
员工离职之后,将会自动执行以下操作:1、取消应用授权关系。2、取消策略授权关系。3、该账号无法登录。4、移出原有部门,移动至已离职部门。删除账号可以在 办理离职 时同步删除员工账号:
离职和删除账号也可以分步进行:1、先在 组织管理 页面 办理离职。2、然后在 成员管理 中 删除账号。会彻底删除所有用户相关数据。
管理终端设备
设备管理
设备管理功能旨在管理登录用户池应用的所有网页端、移动端、 PC 端设备;通过登录用户池应用,终端设备主动上报该设备信息到用户池,通过对该设备的移除、挂起、停用等操作,来实现对设备的终极管理能力。
管理员侧设备管理
点击「组织机构」-「设备管理」模块,进入设备列表,在这里可以看到所有的设备的基础及使用信息,并且可以对设备进行移除/挂起/停用。启用的操作;
在设备管理列表,点击某一条设备信息,进入到该设备的信息详情页面,可以看到所有使用该设备的账号信息、设备的安全信息及活跃信息;
点击「组织机构」-「成员管理」-「成员详情」页面,用户可以看到使用该账户登录的所有设备信息,并且可以进行移除、挂起、停用操作;
用户侧设备管理Web 端应用个人中心:在 Web 端应用的个人中心,可以看到该用户下,所有登录了该应用的设备;
Authing 令牌移动端 App: 打开 Authing 令牌 APP, 输入用户池相应的移动端应用,并进行登录,登录后,可以在个人中心看到「设备管理」模块,点击进入后,可以对该账号在该应用下登录的设备进行管理操作:
通过「管理数据对象」对设备进行管理首先,在一个开启「管理数据对象」功能的用户池里,打开「设置」-「管理数据对象」页面,点击「终端设备管理」模块,进入终端设备管理模块:
「终端设备管理」功能的基本信息里,展示定义好的功能名称、功能标识符、功能描述及父级菜单,且无法修改:
字段管理 : 展示所有的和设备管理功能相关的字段,可以选择是否展示、是否可编辑:
操作管理:展示的是针对设备管理的常规表单操作能力,包含 「创建」、「编辑」、「删除」、「导入」、「导出」的能力;
详情页配置:展示了某个设备详情页面的配置,可以对详情页的 Tab 及相应的字段进行配置;
·
2024.09.14
·1032 人阅读
聚焦数据分类分级,实现身份数据高效管理
8 月 30 日召开的国务院常务会议审议通过了《网络数据安全管理条例(草案)》。会议指出,要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。随着我国数字经济的发展,数据已经日益成为推动经济发展的重要生产要素,成为企业的核心资产。可以看到,数据分类分级工作已成为数据要素应用和数据安全相关工作落地实施的重要前提。对于企业而言,身份信息作为数据资产中最为重要的一部分,其管理和保护显得尤为重要。
01.企业为什么要身份分类分级?
大量身份数据难以管理企业内有多少个应用,每个应用对应了多少个数据库,每个数据库对应了多少张数据表,每个数据表的数据量(字段数目、数据行数、数据存储空间大小)等等。随着采购软件的增多,系统的管理变得更加复杂,导致了不断攀升的运维成本。依赖手动运维会带来大量重复低效的工作,背后隐藏着昂贵的人力和时间成本。长期来看,这并不是一个可持续、可操作的方式。因此,企业迫切需要在一个地方集中存储和维护员工账号密码、设备权限等数据,并将这些数据同步至下游应用,通过「一处管理、处处同步」减少重复工作。
不同数据对于安全要求不同企业需要基于分类分级的结果,针对不同安全等级的敏感数据,施加不同程度的安全管控策略。针对不同安全等级的敏感数据实施相应的安全管控策略。精准的分类和分级能够确保对高敏感数据采取最严格的保护措施,从而防止数据泄露或滥用,而对低敏感数据则实施适当的保护以保持其基本安全。错误的分类或分级可能导致安全漏洞,未能有效保护高敏感数据,同时可能会对低敏感数据采取过度的保护措施,浪费资源。但企业实施过程中往往复杂且耗时,尤其是在已有的系统和流程中进行调整时,可能会对业务操作造成干扰,并需要额外的时间和费用投入。
高数据安全要求在数字化时代,数据安全已经成为企业不可忽视的头等大事。尽管许多企业已经建立了数据安全措施,但仍然存在安全防护的缺失。过去传统的安全治理办法是添加更多的身份认证流程,例如在帐号密码单因素认证下添加第二种认证因素,短信/邮箱等验证流程,然而这种办法并不能有效解决此类问题,不法分子会通过钓鱼网站/邮件/短信等手段获取相应的 OTP 指令或者建设伪基站来劫取验证信息。因此,企业需要基于身份加强全链路的风控防护,提前配置风控策略,帮助企业识别可能存在的风险,及时向相关人员发送告警信息。
02.企业如何实现身份分类分级?
打造更适配、更细粒度的身份管理Authing 提供「管理员权限」,让权限管理回归到业务本身。根据员工职责来赋予员工不同的角色权限。系统将各类权限聚合起来组成「角色」,给后台管理员(员工)赋予不同的角色,就可以控制其在系统中可接触的空间范围,确保他们「权责分明」、「不越界」。新增的管理员权限以用户身份进行画像,基于用户属性个性化设置管理员,对具体的数据资源范围进行更细粒度的分权管理。将权限管理工作分级授权下放到业务负责人和团队,实现业务自治管理,明晰责任归属,让权限管理充分促进业务健康安全发展,保证企业管理人员能够清晰明了的掌握员工的权限开通情况,让企业每个部门、每个成员的权限访问都有理可依、有序可循。
集中分析跨平台行为数据,实现更安全的 MFA 策略对于面临更复杂的安全环境和有特殊安全监管需求的企业来说,仅用一次性的身份认证来控制对敏感系统的访问已经不再足够,用户的安全状况可能在系统会话期间动态变化。不仅需要对登录行为进行风险判断和阻断,更需要结合用户在各系统内的使用情况进行分析,持续评估,才能有效减低风险发生。通过 Authing 自定义数据对象,将用户在各个系统内的操作行为集中上报,进行分析,并发布风险事件,再结合身份自动化编排二次验证策略,即可实现基于全量行为数据的持续评估,预防风险。企业可以根据自己的安全标准和政策要求,灵活选择 MFA 策略复杂度类型,并根据实际情况进行组合设置,满足企业不同层次的安全需求,保障账户和系统的安全性,有效防范各类安全威胁和攻击。
轻松搭建后台管理服务,满足个性化业务需求当你的企业因为业务需求,想在身份管理后台新增一块「会员管理功能」、「工号管理功能」或数据统计看板,在传统的开发流程下,将涉及大量研发资源的投入。相反地,使用 Authing 自定义数据对象,低代码即可创建多场景下的管理功能、统计看板和对应的菜单,不到一天时间即可发布,快速配合业务迭代。无论是调整功能细节还是新增业务场景,都可以通过低代码方式高效完成,从而提升企业的运营效率和响应速度。
·
2024.09.05
·1102 人阅读
企业如何快速打通多应用系统,实现上下游身份自动同步?
自动化迅速发展的时代,数据和系统的同步已成为确保业务流程和技术运作顺畅的关键因素。随着企业日益依赖复杂的 IT 基础设施和多样化的应用程序,数据同步问题变得更加显著和复杂。但企业内部的各个分支机构通常拥有独立的身份管理系统,可能导致信息孤岛、安全漏洞、流程不统一等一系列挑战。如何有效打通企业内各种应用系统,实现身份自动化同步,成为许多公司面临的紧迫问题。企业需要建立一个集中化的同步中心,自动化管理各个系统之间的身份流程。
01.企业面临的困境
多应用系统难以打通
随着公司业务的扩展和员工人数的增加,企业在人员管理上遇到了新的挑战。员工的入职、离职以及岗位变动频繁,管理者必须不断手动开启或关闭账户,并分配或收回权限。传统的企业 OA 系统、HR 系统和 AD 系统虽然可以处理账户管理,但由于这些系统中的身份信息是相互独立的,形成了“身份孤岛”,信息同步变得困难,系统间的数据集成和权限管理复杂,且建设难度大,权限也难以集中管理。因此,企业迫切需要打通多种身份来源,构建统一的身份标识,以实现对员工全生命周期的有效管理。
账号手动管理复杂
管理员必须在多个系统中分别维护员工的身份信息和组织架构数据。每当员工发生入职、离职或岗位调整等变动时,管理员必须在每个相关系统中手动更新这些信息。这种重复而繁琐的操作不仅耗费大量时间和精力,还容易引发数据不一致的问题。例如,同一员工在不同系统中的信息可能因为手动更新的疏忽而不一致,导致数据错漏和权限设置不匹配,引发权限管理失误,从而带来潜在的安全风险和合规问题。传统的手动账号管理方式严重制约了企业的管理效率,并可能导致系统间的协作与运营效率大幅下降。
企业需要建立一个集中化的同步中心,来整合和自动化各个系统之间的身份管理流程。通过这一中心,企业能够实时更新和同步用户信息,确保在所有系统中的身份数据一致且最新,减少手动操作中的错误和延迟。
02.什么是同步中心?
为了解决员工目录散落在多个系统中,难以统一、高效地维护、管理的问题,Authing 推出同步中心。同步中心连接上下游数据源,实现组织信息和成员信息的同步。同步中心可以使企业管理者免于在各个系统中手动维护应用账号, 真正实现一处管理、处处同步,既提高了员工生命周期流转效率,又帮助企业降低了运维成本。
同步中心使用场景举例诠释同步中心如何解决业务场景中数据同步的需求。例如,某公司采购了一套 HR 系统,用于员工的生命周期管理,又使用飞书、企业微信、钉钉作为企业级 IM 工具,同时采购了阿里云、Jira、Zoom、GitHub Enterprise、泛微等业务应用(以下简称「下游应用」)。HR 同学需要在员工入职时,手动在各个 IM 工具、业务应用中为新员工创建账号;员工离职时,再手动删除相关账号。这是一个非常繁琐且易出错的过程。借助同步中心,你可以通过自动化的方式完成以下操作:
在 HR 系统中入职一名员工,自动在所有下游应用创建相应的账号。
在 HR 系统中离职一名员工,自动将其在下游所有应用的账号冻结或删除。
在 HR 系统中设置员工 A 为员工 B 的直属上级,同步至下游应用时,员工 A 依然是员工 B 的直属上级,确保审批流关系是正常的。
用户数据同步最佳实践Authing 为客户提供组织和用户数据同步场景下的最佳实践:
无需代码,在控制台简单配置即可。
自定义字段映射,灵活控制同步数据内容。
支持手动同步、定时同步、实时同步三种同步时机。
支持企业微信、钉钉、飞书等常见应用。
以上功能无法满足你的需求?扫描下方二维码咨询更多内容。
03.如何快速创建专属同步中心?
创建同步任务
路径:组织机构->同步中心在控制台点击左侧导航栏 用户管理->同步中心(对于 ToE 的场景,路径是 组织机构->同步中心)即可进入同步中心管理页面 ,在这里你可以看到所有已创建的同步任务,也可以创建新的同步任务。要创建新的同步任务,执行以下步骤:
在 同步中心 页面点击 创建同步任务 按钮,或者直接在画板点击加号按钮打开 选择同步任务 窗口(对于后者,略过步骤 2 直接执行步骤 3 )。
点击 Authing 同步中心 左侧加号为创建上游同步任务。点击 Authing 同步中心 右侧加号为创建下游同步任务。
在选择同步任务窗口根据需要切换上游同步 / 下游同步选项卡,选择进入一个上 / 下游应用。打开该应用的同步任务创建窗口。
在一个用户池新建一个同步任务时,同一个数据源不能既作为上游,又同时充当下游。
根据提示填写配置信息。
筛选同步范围。有关筛选同步范围详情,请参阅筛选同步范围。
配置用户同步字段映射。
选择适用的同步时机(提供手动、定时同步、实时同步 三种同步方式)。
配置同步策略。(本步骤仅适用于上游同步。)
点击创建。
重新进入所选应用的配置详情页,拷贝 事件订阅请求网址 URL。(本步骤仅适用于上游同步。对于上游同步,Authing 会在 配置信息 模块自动生成一个回调地址,用于接收应用事件。
配置应用权限。
同步任务创建完成。以上更详细的步骤前往 Authing 官网阅读(https://docs.authing.cn/v2/guides/sync-new/create-sync-new/)执行同步任务路径:同步中心当同步时机为手动时,需要管理员手动执行同步任务,实现上下游数据的同步。
执行同步
进入同步中心页面,可以看到同步任务画布,展示所有已创建的同步任务。要执行选定的同步任务,执行以下步骤:1、执行同步任务,数据不可恢复,要谨慎操作!2、必须为用户配置正确的手机号等必要字段信息(因三方数据源而不同),否则同步失败。在同步任务画布点击目标任务卡片上的执行同步任务按钮。打开确认执行弹窗。也可以进入该同步任务详情页,点击右上角执行同步任务按钮。
点击确定按钮开始执行同步。同步数据会需要一段时间,这取决于待同步的数据量的大小。
查看同步历史同步完成后,可以到待同步的应用用户管理页面查看同步后结果,检验同步是否成功。也可以进入同步任务详情页,点击同步历史选项卡,看到历次同步数据。你可以在同步历史标签页查看历次同步任务执行时间、同步方式(实时同步 还是 手动)、历次执行的组织和用户的变更状态及同步更新情况,可在操作列查看当次同步任务详情,并可导出此次同步执行日志。
1、序号:以倒序的方式统计应用同步任务当前执行的次数。2、同步时间:显示同步任务历次执行完成时间,最新的一次执行显示在首行。3、同步方式:显示创建或修改同步任务时指定的 同步时机 的值。对于手动同步,每次执行,都会生成一条记录。对于定时同步和实时同步,只会生成一条记录,其同步时间以最后一次为准。4、组织状态:统计此次执行同步任务,共有几个组织同步成功,同步成功数量/同步总数。5、组织更新:统计此次执行同步任务,共有几个组织更新成功,更新成功数量/更新总数 。6、用户状态:统计此次执行同步任务,共有多少用户同步成功,同步成功数量/同步总数。7、用户更新:统计此次执行同步任务,共有多少用户更新成功,更新成功数量/更新总数 。8、操作:点击操作列详情按钮,可以查看此次同步执行的主体、同步类型、同步完成时间以及是否成功同步。也可在 同步历史 列表中单击待查看项进入此次同步执行的详情页。有关详细介绍,请参阅下文 查看同步历史详情。点击 操作 列 导出 按钮,可以将此次同步日志导出为 Excel 文件。也可在当前同步执行的详情页点击右上角 导出 Excel 按钮。
查看同步历史详情你可以在同步历史详情页查看当前同步任务某次执行结果详细信息。
1、主体:可按用户、部门 进行筛选。2、同步类型:创建用户、更新用户信息、删除用户、创建部门、修改部门信息、删除部门信息、同步部门成员等。3、同步时间:展示本条数据同步完成时间。4、同步状态:可按同步成功、同步失败进行筛选。5、展开 / 收起按钮:如本条数据执行同步时,同步字段有更新,则可点击展开按钮查看字段更新详情。
导出同步日志管理员可以导出当次同步任务执行日志。要导出同步任务执行日志,执行以下步骤:1、在同步历史标签页,点击执行列表中某次执行所在行操作列导出按钮,也可在同步历史详情页点击导出 Excel 按钮。
2、在确认弹窗点击确认按钮。打开 Excel 格式同步日志。3、点击 下载文件 将同步日志下载到本地。
处理删除保护路径:同步中心->同步任务删除保护页Authing 认为,删除操作可能由于人为因素或系统因素等造成管理风险。因此下游同步过程中,在 Authing 控制台删除一个用户或部门时,需要在同步中心的删除保护页面进行二次确认。手动同步、定时同步、实时同步 都必须执行删除保护操作。删除保护仅适用于下游同步。第一步:删除用户 / 部门待删除用户 / 部门必须属于当前下游同步任务中 同步范围 指定的组织树和部门。删除用户 / 部门前确保已经执行了下游同步,且同步成功。删除用户办理离职的用户必须在 成员管理 中执行删除操作后,才能触发同步中心删除保护。1、办理离职a. 在 组织机构->组织管理(ToE 场景)/ 用户管理->组织机构(ToB / ToC 场景)组织树选中待删除成员所在部门。b. 在右侧部门成员列表选中待删用户。c. 在列表下方弹出的操作选项栏点击 办理离职。d. 在弹框点击 离职 进行确认。
2、删除账号a. 在 组织机构->成员管理(ToE 场景)/ 用户管理->用户列表(ToB / ToC 场景)点击待删除用户所在行 操作 列 删除账号 按钮。b. 在弹框点击 确定 确认删除。
删除部门路径:组织机构->组织管理(ToE 场景)/ 用户管理->组织机构(ToB / ToC 场景)在删除部门前需要移除部门内子部门及用户,否则无法删除。
1、移除部门下所有用户。在勾选部门下用户后,如果列表下方弹出的操作栏中 移除成员 按钮是激活状态(所选用户仅属于当前部门),则点击该按钮将所选用户从当前部门直接移除即可;否则,需要按照办理用户离职步骤 1 所述将所选用户通过办理离职方式从当前2、部门用户列表中移除。删除部门下所有子部门。3、删除部门。a. 在左侧组织树点击所选部门后的更多按钮(...),选择 删除部门。b. 在弹框点击 删除 按钮确认删除。系统提示成功删除部门。第二步:在删除保护页执行删除同步任务画布中,处理删除保护 按钮有两种状态:默认状态(黑色):当前同步任务无待处理的删除操作。高亮状态(橙色):当前同步任务有待处理的删除操作。
1、返回同步中心,在同步任务画布找到待同步数据的下游应用,点击处理删除保护按钮,进入 删除保护页。也可在下游应用的同步任务详情页点击右上角 删除保护 按钮进入删除保护页。2、在操作列表点击待删除主体所在行操作列执行删除 按钮,并在确认弹窗中点击确定。提示操作成功。
删除列表 默认显示所有 未执行 的删除操作。点击表头 执行状态 取消勾选 未执行 后,可查看到当前下游应用的所有删除操作执行记录,了解其执行状态。点击 操作列执行删除按钮可执行删除操作,即在下游同步删除该用户 / 部门。点击 操作 列 取消删除 按钮不执行删除操作,即下游不会同步删除该用户 / 部门,当前删除操作 执行状态 变为 已取消。取消删除 后,不可再重新执行同步任务,会导致上下游数据不一致,请谨慎操作!
对于 未执行 和/或 执行失败 状态,可以选择多个条目进行批量操作。
维护同步任务路径:组织机构->同步中心同步中心画布展示所有已创建的同步任务。对于已创建的同步任务,管理员还可以 查看各同步任务的执行状态,查看和修改同步任务信息,启用 / 禁用同步任务,删除同步任务等。
查看同步任务执行状态
同步中心画布集成了由 Authing 同步中心连接的所有上游身份源和下游应用。Authing 同步中心与上下游建立了同步任务,画布为不同的任务执行状态定义了不同的颜色:蓝色:正在执行同步任务。绿色:同步成功。红色:同步失败。橙色:存在删除部门 / 用户的操作,需要管理员手动确认是否执行同步。灰色:当前同步任务尚未执行同步操作。管理员可以更直观地查看同步任务的执行状态,从而采取相应措施:对于尚未执行同步操作的任务,管理员可以点击执行按钮 执行同步任务。对于执行失败的同步任务,Authing 同步中心除了赋予红色标识,在相应任务卡片上还给出红色报错提示,点击即可打开报错弹窗。管理员可以点击按钮拷贝报错信息,便于查询。
对于存在删除操作的同步任务,管理员可以处理删除保护。
修改同步任务信息管理员可以点击画布中目标同步任务卡片,进入该同步任务详情页,根据需要修改任务配置信息。除了可以修改 配置信息、同步范围、用户同步字段映射、同步信息,管理员还可以修改同步任务备注名称,赋予其具有实际业务意义的命名。从而在同步任务画布包含诸多任务时,便于区分。
启用禁用同步任务在一些业务场景中,虽然 Authing 同步中心已经与某些应用建立了同步任务,但暂时不需要与这些应用同步数据。此时,可以将此类同步任务暂时禁用,根据需要再启用。要禁用某个同步任务,可以进入该同步任务详情页,关闭该同步任务开关(同步任务创建后默认开启)。
要重新启用该同步任务,可以进入详情页开启此开关,也可以直接在首页画布进行开启。
删除同步任务删除后不可恢复,请谨慎操作!
要删除某个同步任务,执行以下步骤:1、进入该同步任务详情页。2、在详情页底部点击 删除同步任务 按钮。3、在确认弹窗中点击 确定 按钮。则系统提示成功删除当前同步任务。
·
2024.09.02
·1035 人阅读
一文了解零信任网络访问(ZTNA),它能解决什么问题?
随着数字化转型的深入,企业网络安全面临着越来越复杂的挑战。传统的网络安全边界正在逐渐模糊,远程办公、云计算和 BYOD(自带设备办公)的普及,使得传统的基于边界的安全模型难以应对新的威胁。而面对访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式已经过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。为了应对这些挑战,零信任网络访问(ZTNA)作为一种新兴的安全框架,逐渐成为企业确保网络安全的首选方案。
01.什么是零信任网络访问 ?
零信任网络访问(ZTNA,Zero Trust Network Access)是一种基于零信任安全原则的网络访问架构。之所以称之“零信任”,是因为它基于“永不信任、始终验证”的原则。任何用户或设备在其身份和授权得到验证之前都不被信任,不能访问资源,而是通过持续的验证和监控来确保网络资源的安全访问。这个概念在 2010 年,由 Forrester Research 分析师 John Kindervag首次提出。零信任不但适用于企业内部网络,例如:使用在家远程登录企业内网工作的员工,参加全球会议时使用移动设备的员工。也适用于该网络之外的个人或终端设备。无论您之前是否访问过网络,访问过多少次,您的身份都是不可信的,必须再次验证。
02.企业面临的困境
企业业务云化,数据边界被打破
在当今的数字经济中,越来越多的企业选择将其关键业务和应用程序迁移到云端,这种趋势使得企业传统的网络边界逐渐模糊甚至完全消失。同时,员工的工作方式也发生了巨大变化,使用各种设备在不同地点、不同时间进行远程办公已成为常态。这种分布式的工作环境对企业的安全管理提出了前所未有的挑战,传统的基于边界的 VPN 管控方式已经显得力不从心。VPN 的静态授权机制无法灵活应对动态变化的安全需求,甚至可能放大安全隐患,增加数据滥用的风险。因此,企业迫切需要一种能够在无边界环境中有效管理和保护其分布式资源的安全方案,这就是零信任架构的核心价值所在。
高低密级数据混合管理,数据泄露风险增加
传统的安全模式通常将内部网络视为可信任的安全区域,但这一假设在今天的威胁环境中已经变得非常危险。一旦黑客成功入侵企业内网,他们往往能够在未经进一步验证的情况下访问内部网络上的所有资源。这种“内部默认信任”的模式极易导致数据泄露,特别是在处理高低密级数据混合管理的场景中。企业无法实时监控和控制访问过程中的违规和异常行为,使得静态的安全措施难以应对动态的威胁环境。
全球市场扩展的趋势
全球市场的扩展也进一步推动了企业对零信任架构的需求。根据多家市场研究机构的预测,全球 ZTNA 市场在未来几年内将保持高速增长。预计在 2023 年至 2027 年之间,年均复合增长率(CAGR)将超过 20% 。随着企业扩展到全球各地,零信任架构能够为分布在不同地域的员工和资源提供一致且高度安全的访问控制,确保企业能够在多样化和复杂的环境中保持安全运营。
03.零信任垂直行业
金融行业
在金融行业,数据的敏感性和严格的合规要求使得安全问题尤为重要。金融机构处理着海量的客户数据和交易信息,这些数据一旦泄露,不仅会给客户带来巨大损失,还会对企业的声誉造成不可挽回的影响。传统的安全措施已经无法满足日益复杂的威胁环境,零信任网络访问(ZTNA)应运而生,成为金融行业强化安全防护的重要工具。
精细化访问控制:ZTNA 允许金融机构根据用户的角色、设备状态、地理位置等因素,动态调整访问权限,确保只有经过严格验证的用户才能访问敏感数据。
合规性管理:ZTNA 架构能够帮助金融机构更好地满足各类金融法规和合规要求,如 PCI DSS(支付卡行业数据安全标准)和 GDPR(通用数据保护条例)。通过持续监控和记录访问行为,ZTNA 可以提供详细的审计日志,方便监管审查。
抵御复杂威胁:面对不断演变的网络攻击手段,ZTNA 采用“永不信任,始终验证”的策略,大幅降低了内部攻击和数据泄露的风险,确保客户数据和交易信息的绝对安全。
医疗行业
随着电子病历(EMR)的普及和远程医疗服务的兴起,医疗行业对数据安全和患者隐私保护的要求也在不断提升。ZTNA 在医疗行业中的应用潜力巨大,能够为医疗机构提供强大的数据保护和隐私安全保障。
患者数据保护:医疗数据通常包含高度敏感的个人信息和健康记录,一旦泄露将造成严重后果。ZTNA 通过严格的身份验证和最小权限原则,确保只有经过授权的医护人员才能访问特定患者的数据,从根本上防止数据滥用。
支持远程医疗:随着远程医疗的兴起,医生和患者通过互联网进行诊疗已成为常态。ZTNA 能够确保这些远程连接的安全性,无论医生位于何处,都能以安全的方式访问医疗系统和患者数据,防止未经授权的访问和信息泄露。
合规性保障:医疗行业受到如 HIPAA(健康保险可携性和责任法案)等法规的严格监管,ZTNA 通过持续的监控和审计功能,帮助医疗机构实现合规性管理,确保患者数据的安全与隐私保护。
制造业
制造业正处于数字化转型的关键阶段,智能制造和全球供应链的发展使得企业面临着越来越多的网络安全挑战。在这样的背景下,ZTNA 能够为制造企业提供强有力的安全保护,尤其是在保护知识产权和敏感数据方面。
知识产权保护:制造企业的核心竞争力往往体现在其知识产权上,如专利技术、工艺流程和设计图纸等。ZTNA 通过动态授权和精细化访问控制,防止未经授权的人员或设备访问这些敏感数据,确保企业核心资产的安全。
全球供应链安全:在全球化的背景下,制造企业的供应链通常跨越多个国家和地区,供应商和合作伙伴之间的数据共享变得越来越普遍。ZTNA 能够确保这些跨境数据传输的安全性,防止供应链中的数据泄露和篡改。
智能制造环境下的安全保障:随着工业物联网(IIoT)的普及,制造设备和系统的互联互通为企业带来了新的安全挑战。ZTNA 通过对设备和系统的持续监控,能够及时发现并阻止潜在的安全威胁,确保智能制造环境的安全运行。
04.基于零信任的身份管理平台,实现身份安全互联
持续自适应多因素认证(CAMFA)- 企业零信任最佳实践
对于面临更复杂的安全环境和有特殊安全监管需求的企业来说,仅用一次性的身份认证来控制对敏感系统的访问已经不再足够,用户的安全状况可能在系统会话期间动态变化。此时企业需要有持续评估安全风险技术来对用户进行动态安全系数评估,并基于该评估来决定是否需要增加额外的因素认证。「持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication,CAMFA)」是一种安全身份验证方法,它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
超细粒度权限管控,坚持最小权限原则Authing 作为领先的身份管理和访问控制平台,与 ZTNA 中的微分段技术完美结合,进一步增强了企业的安全性。通过微分段技术实现了最小权限原则,即用户只能访问其完成任务所需的最少资源。每个微段中的资源访问是严格受控的,用户必须经过身份验证和权限检查才能进入特定的微段。微分段技术有效限制了攻击者在网络中的横向移动能力即使黑客入侵,他们也只能接触到极少的信息,无法肆意横行。不仅如此,Authing 提供「管理员权限」,让权限管理回归到业务本身。根据员工职责来赋予员工不同的角色权限。系统将各类权限聚合起来组成「角色」,给后台管理员(员工)赋予不同的角色,就可以控制其在系统中可接触的空间范围,确保他们「权责分明」、「不越界」。
持续监控用户行为,实时审计日志在现代企业网络安全架构中,持续监控与实时记录已成为确保数据安全和合规管理的核心策略。Authing 不仅能够及时发现潜在的安全威胁,还能提供详细的审计日志,以支持事后分析和合规性审查。持续监控实时捕捉并分析用户的行为模式、设备状态、访问路径等信息。一旦检测到与正常行为模式不符的异常活动,如非正常时间的登录尝试或异常的大量数据传输,系统能够立即发出警报,并采取适当的应对措施,防止潜在的安全威胁进一步扩大。
·
2024.08.31
·1102 人阅读
从职责分离 SoD 入手,开启企业权限管理之旅
随着信息化的快速发展和合规管理的深入普及,企业 IT 架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解,越来越多企业开始关注企业数字化风险管控的措施和手段。企业数字化身份管理需要从碎片化向集中化、从单一化向多元化、从静态化向动态化、从粗放化向精细化演进。据 IDSA《国际 2023 年数字身份安全趋势报告》显示,90% 的组织在过去一年中至少经历过一次与身份相关的泄露,比 2022 年的 84% 增加了 6% ,68% 的组织因此遭受了直接的业务影响,从而损害企业声誉。面对这样的数字化风险,企业不仅需要更为精细的身份管理,更需要有效的风险控制手段。在这种背景下,职责分离(SoD, Segregation of Duties)逐渐成为企业提升安全性和合规性的重要原则。
什么是职责分离?职责分离( Segregation of Duties,简称 SoD )是一种关键的内部控制原则,旨在通过将不同的职责和任务分配给不同的个人或部门,以减少错误和舞弊的风险。其核心理念是防止任何一个人或部门拥有足够的权限来完全控制所有关键业务流程,从而保护企业的资产和数据的完整性。SoD 的基本原理可以概括为以下几点:
职责分配:将关键任务分配给不同的人员或部门。这些任务通常包括授权、记录和审核。通过将这些任务分开,可以防止单个人员拥有过多的控制权,减少错误和舞弊的风险。(定义)
权限控制:实施严格的权限控制,以确保只有被授权的人员才能执行特定的任务。这需要结合身份和访问管理 (IAM) 系统,以动态地管理和监控权限。(管控)
相互监督:通过相互监督,确保每个任务都由不同的人员负责,并且相互之间进行监督和检查。这种相互监督机制可以及时发现和纠正错误和不当行为。(监督)
审计和监控:定期进行审计和监控,以评估 SoD 的实施效果。通过审计,可以发现和纠正内部控制中的薄弱环节,确保SoD 的有效性。(审计)
02.企业面临权限管理困境
员工职权滥用职责分离的核心目标是防止单一员工或团队拥有过多的权限,从而减少滥用权力的机会。在企业运营中,如果一个人同时负责多个关键环节,如授权、执行和审计,那么该员工就有可能通过滥用职权进行欺诈或掩盖错误。这种权力的集中无疑会为内部控制带来巨大的风险。也就是我们平时经常说起一种不合理的现象:既当裁判员、又当运动员!自己制定规则、自己执行规则,运动员成绩怎么样,自己说了算,这是明显很不合理的设计。这里的裁判员和运动员就是不相容岗位,就像审计部既要负责风险管理体系的建设运行、又要负责风险管理体系的监督,主导体系建设运行,相当于运动员,而监督职能相当于裁判员,也是明显不合理的。
业务操作模糊化随着企业规模的不断扩大和业务复杂性的日益增加,企业在面对激烈市场竞争和不断变化的环境时,优化业务流程和强化内部控制已成为提升运营效率和降低运营成本的关键战略。当不同的员工分别负责某一流程的各个环节时,每个环节都可以被独立记录和审核,确保操作的合规性和准确性。由于责任被分散在多个环节中,就会出现责任不明确的情况,导致流程的某些方面难以追踪或问题被掩盖。虽然分工能够提高操作的合规性和准确性,但也需要确保各环节的职责划分清晰,以防止操作过程中的模糊化,确保整体流程的透明和有效管理。
严格审计合规要求许多行业,尤其是金融、医疗、能源等高度监管的领域,要求企业遵守严格的合规标准。2018 年证监会发布《证券基金经营机构信息技术管理办法》(第 152 号令),第三十二条明确提出关于账号管理“最少功能、最小权限分配原则”和“对信息系统权限的定期检查与核对机制,确保用户权限与其工作职责相匹配,防止出现授权不当的情形”的监管要求。这种合规标准通常要求企业在权限管理中进行职责分离,确保不同的员工或部门分别负责关键职能,如审批、执行和审计,从而形成相互监督和制衡的机制。
03.职责分离是企业权限管理的核心原则
在企业权限管理中,职责分离不仅有助于防范潜在的安全威胁,还能有效提高企业的运营效率和管理水平。它确保各部门之间的权限分配合理,避免因权限不当分配导致的内部纠纷和操作冲突。同时,职责分离也是合规性管理的重要组成部分,特别是在金融、医疗和能源等高度监管的行业中,职责分离的实施往往是企业遵循法规要求和通过外部审计的必要条件。在实际应用中,SoD 在企业中可以通过以下几个方面来实现
业务流程优化,打造灵活用户服务策略Authing 以用户为中心,致力于为用户打造全面的自助服务体验,构建更加智能的自助服务策略。无论您是正在实施自助服务,还是需要对当前功能进行更新,采用结构化设计方法都能确保您的自助服务能够充分满足用户需求,以适应不断变化的市场和业务环境。用户自助服务允许员工自行管理诸如密码重置、访问权限请求等常规操作,无需等待 IT 部门的响应,极大减少了 IT 部门的日常工作负荷,将其从繁琐的例行事务中解放出来。并且自助服务自动化了许多常规流程,如帐户创建、权限管理和问题解决等。并且用户自助服务通常包括审计跟踪和权限控制功能性,确保每一步操作都被精确地记录和监控,从用户发起的请求到最终的授权和访问,都可以被追溯到其源头。精细化的监控机制实现了对于任何访问的可追溯性。用户审计日志能够帮助企业及时发现和解决潜在的安全漏洞,并保证其业务活动符合相关的法律法规和行业标准。企业能够建立起更为健全和可靠的安全体系,保护重要数据和资源免受未经授权的访问和不当使用。
精细化权限管理,让权限回归业务本身企业很难寄希望于构建一条一劳永逸的用户旅程,权限管理需要根据业务场景的变化而变化。Authing 提供「管理员权限」,让权限管理回归到业务本身。根据员工职责来赋予员工不同的角色权限。系统将各类权限聚合起来组成「角色」,给后台管理员(员工)赋予不同的角色,就可以控制其在系统中可接触的空间范围,确保他们「权责分明」、「不越界」。Authing 新版管理员不仅不局限于超级管理员的权限分配与管理,还支持协作管理员将自己拥有的权限继续授权,达到层层下放的授权效果,实现灵活又严谨的权限管理能力。从全局考虑数据资产,基于场景对业务流程不断进行切片细化,用数据优化、重构,推动整个商业模式,实现细粒度的权限管理,以用户为中心,实现全场景业务权限的集中化、可视化、个性化。
完善审计日志,保障企业安全合规Authing 以用户为单位,提供可视化、全局的权限视图,清晰展示每个用户在不同应用下的资源权限和关联策略,为企业提供了全面的可视化信息,帮助企业管理员轻松查看和管理员工的权限情况。 通过筛选生成多个权限视图,企业能够更轻松地进行事后审计,降低了重复低效的工作。企业不再需要手动检查每个用户在每个应用中的权限,而是可以依靠全局的权限视图来实现快速的权限管理和审计,提高工作效率,减少潜在的失误和风险,确保企业在个人信息保护相关法律和法规方面数据合规。
·
2024.08.23
·1165 人阅读
直面游戏行业身份需求,助力中国游戏开启“大航海时代”
近日,首个国产 3A 大作《黑神话:悟空》正式在全球上线,互联网上似乎所有的热搜都集中在了它上线这件事上。截至目前,《黑神话:悟空》在各平台总销量超过 450 万份,总销售额超过 15 亿元,大幅刷新了国产游戏的历史纪录,标志着国产 3A 游戏实现了零的突破。而在昨晚《黑神话:悟空》的在线玩家人数,更是达到了一个恐怖的数值—— 211 万。这一现象不仅体现了国产游戏在技术和内容上的飞跃,也展示了游戏行业在全球范围内的影响力日益增强。随着用户数量的急剧增加,游戏行业在迎来蓬勃发展的同时,也面临着新的挑战。大规模用户基础和日益复杂的项目结构,对企业的身份管理提出了更高的要求。如何确保玩家账户的安全、如何高效管理员工的访问权限,成为了亟待解决的问题。在此背景下,游戏行业的身份需求变得更加迫切。
图片来源:游戏科学
01.游戏行业面临挑战
员工身份登录难随着企业内部应用的激增,员工们面临着越来越多的账号和密码管理压力。在日常工作中,他们需要频繁访问多个系统,每个系统都有独立的登录凭证。员工需要记住和管理众多账号密码,复杂难记或设置单一的密码容易导致安全隐患。并且登录入口众多且界面不统一,频繁切换不同应用,导致员工体验不佳。多身份源问题还可能带来安全隐患。一旦某个账号的安全性被破坏,其他系统也可能受到连带影响,进一步扩大了安全漏洞,也使得统一管理更加复杂。
权限管理工作量大在游戏行业中,企业往往面临多项目、多办公地点以及员工身份多样化等复杂局面,这导致了权限管理的极大挑战。由于无法对所有用户的访问权限和行为进行集中管理,信息孤岛与数据安全问题愈发严重。大多数企业缺乏统一的权限申请入口,导致权限开通繁琐且效率低下。员工的入职、离职及账户管理频繁,IT人员需要花费大量时间和精力处理这些事务,效率低且容易出错,缺少自动化的管理机制与功能,使得整个流程效率低下。
玩家身份数据不统一玩家的游戏登录入口多样,设备种类繁多以及社交登录方式的多元化,再加上游戏行业常有出海或拓展中国市场的需求,需要在不同地区上线符合当地法规、用户习惯的应用。但国外的登录认证产品无法全面支持中国的应用生态,也较难配合中国的合规要求。游戏会员系统之间未能实现打通,导致碎片化身份难以整合。同时,企业无法有效识别玩家的身份画像,增加了提升用户体验和进行消费洞察的难度。
02.构建身份基础设施成为企业身份管理关键步骤
集成应用至登录门户,办公更省时单点登录(SSO)是目前企业降本增效以及提升用户体验的主流选择方案。相关的安全性配置也非常重要,包括适当的会话管理、强制重新认证、定期会话失效等策略,以防止会话劫持和重放攻击。Authing 通过将多个应用集成至一个工作台,实现了单点登录的强大能力,而无需进行额外的开发工作。Authing 预集成 2000+ 应用,能帮助企业快速实现单点登录。用户只需登录一次,即可高效安全访问所有应用系统,管理员只需一处即可管理所有用户身份体系,极大地简化了繁琐的登录流程,显著提升了业务操作的效率。
超细粒度权限管控,大幅降低安全风险Authing 的统一权限管理系统实现了权限设置的集中管理,确保员工只能访问与其角色和职责相关的信息和系统,降低了未经授权访问的风险,确保公司遵循了相关的数据保护法规和内控要求。当员工入职、离职或组织架构变动时, 能自动触发管理流程并进行权限的申请、审批、开关,能有效减少管理成本,和规避漏关/错开权限带来的数据泄漏风险。并且通过 Authing,企业能将多个不同权限架构的应用轻松集成至一个统一的后台,将各应用的功能拆分为细粒度的资源,即可集中控管各应用下的资源,无需付出额外的应用对接成本。企业能够根据自己的需求创建 API、菜单、按钮等资源,定义对应资源操作(如读取、编辑等),以及被赋予权限的主体角色 (职位、项目组、部门等),几乎能涵盖市面上所有权限管理的场景。
海内外第三方登录方式,支持全球用户顺畅登录随着全球化业务的不断拓展,企业越来越需要为不同地区的用户提供顺畅而便捷的登录体验。海内外用户对登录方式的需求各不相同,如何兼顾这些差异化需求,成为企业在全球市场中竞争的一大挑战。Authing 提供 Google、Facebook、微信、支付宝等海内外应用,拥有 ISO、三级等保等认证,并且在全球多个节点进行部署,安全合规、响应快速,能帮助企业兼顾海内外业务的登录认证需求。无论用户位于何处,都能够享受到稳定、安全的登录体验。Authing 的多样化第三方登录方式不仅能够满足各地区用户的使用习惯,还极大简化了用户的登录流程,提升了用户体验。无论是你想要什么样的登录方式,都能通过 Authing 顺畅地访问应用和服务。
03.最佳客户案例:国内领先游戏企业
痛点需求
企业存在 2000+ 员工的应用登录管理和授权问题,且随着业务的不断增长,员工数量的激增,HR 团队和运维人员每天需要处理大量的账号创建、权限分配、密码重置和账号注销等任务。不仅耗时费力,而且容易出现错误。传统的员工生命周期管理方式已无法为企业提供效率和安全性的保障。一旦管理不到位,可能会导致安全漏洞和数据泄露风险的增加。
企业内有企业微信与飞书的双数据源,这种双数据源的存在却带来了不少管理难题。尤其是当企业需要将这两套系统与多个应用系统进行集成,并实现统一的身份认证和管理时,难度和复杂性进一步增加。且需集成数个应用系统与打通身份体系,通过自研打通组织架构体系、实现员工单点登录的难度较大、时间周期长,沉没成本高。
企业面临着两项关键需求:一方面,希望通过私有化部署来确保数据的安全性,防止敏感信息外泄;另一方面,要求产品具备 SaaS 化能力,以便在管理、维护和升级上享受云服务带来的便捷性和高效性。然而,传统的身份和访问管理(IAM)解决方案往往难以同时满足这两项需求。
解决方案
Authing 的单点登录(SSO)和应用市场功能,轻松实现员工使用一个账号和密码即可访问所有应用,并且统一管控身份和权限。对于企业来说,这意味着在无需任何开发投入的情况下,即可大幅提升员工的工作效率和系统的安全性。员工只需使用一个账号和密码,便能访问公司内部所有的应用系统,无论是办公软件、项目管理工具,还是其他业务应用,登录过程变得极为便捷。员工无需再为多个账号密码而烦恼,能够将更多精力集中在工作本身,从而提升整体工作效率。
Authing 通过与飞书、企业微信产品层面的打通,为企业提供身份供应,统一基于双组织架构下的不同权限不同访问级别,当员工加入公司或晋升时,可以轻松在后台实现分配和更改不同应用的权限,企业也可以在员工离职时,轻松取消、撤销所有不同平台的访问权限,保护企业数据安全,节省运维人员 80% 的工作量。
Authing 的云原生技术架构使得企业能够充分利用云计算的弹性和扩展性。企业可以轻松应对业务需求的变化,无论是玩家数量的激增,还是全球业务的快速扩展,都能够在云端灵活调整资源配置,确保系统的高可用性和稳定性。云原生架构也使得新功能的开发和部署更加敏捷,缩短了产品的迭代周期,从而帮助企业快速响应市场变化和用户需求。Authing 还支持 SaaS 模式下的私有化部署,完美兼顾了企业对云服务的便捷性和对数据安全性的高标准要求。
·
2024.08.23
·1222 人阅读
电子签行业迈向深水区,法大大如何实现员工身份管理?
在 2015 年 10 月,全国首个电子合同判例在上海仲裁庭审理中,首次认可了电子合同的法律效力。这个具有里程碑意义的判例,标志着电子签名行业的新纪元,一个新的时代即将来临。而仲裁庭认可的电子合同服务由一家成立于 2014 年的公司提供,正是“法大大”。法大大是安全高效的电子合同智能签管平台,致力为企业、政府和个人提供基于可靠电子签名技术的电子文件协同签署及管理服务,构建商业契约的数字化基础能力,助力企业与社会的数智化升级。法大大为用户提供便捷、安全、合规的 SaaS 云服务,其主要产品及服务包括:电子签名和电子印章管理、合同起草协商、合同智能审核、合同协作签署、签署后的合同管理、全链路存证和出证服务等。法大大可与企业各类数字化系统、互联网平台无缝集成,实现具体业务场景与电子签的全链路数字化闭环,助力降本增效,促进业务发展。当电子签走向行业深处,法大大是如何实现内部员工管理的呢?
01. 从纸质签到电子签,法大大依托“法律科技”赋能千行百业
从企业初创到被大家所熟知、认可,再到被各行各业广泛应用,以“法律科技”闻名的法大大,始终坚持以客户为中心,不断将自身专利技术与全球领先的前沿技术进行深度融合,围绕合同全生命周期,为用户提供一站式电子合同和电子签服务,极大地释放了电子签在企业数字化转型中的作用和价值。从传统纸质合同的协同拟定、纸张打印、手动盖章、快递邮寄、合同保存,到电子合同在线起草-智能审查-电子签约-合同管理-存证出证的全流程智能化,法大大为各行各业带来全新变革。发展至今,法大大已服务超 4000 家来自各行各业的标杆企业,超 100 家世界/中国 500 强企业。产品研发中心总经理李琳,提到了电子签名的三个主要优势。
安全性:法大大电子签名具备防篡改能力,能有效确保签署的真实性、完整性、不可抵赖性。签署过程有记录和监控,每一步操作都可追溯,确保签署行为的合法性和可验证性。
合法性:法大大产品严格依据《电子签名法》设计,并获得 ISO27001及 ISO27701 等安全认证及保险公司承保,用印过程可追溯,能有效避免萝卜章及冒签、代签等风险,为用户提供金融级安全保障。
便利性:法大大电子签不受终端限制,用户可以随时随地完成签名,大大提升了签署的灵活性。无论是跨城市、跨地区甚至跨国界,签署人都可以便捷地完成签署过程。电子签名无需纸张、打印设备和各种耗材,节省办公成本,减少对环境的影响。
0Authing + 法大大碰撞出新的火花对电子签的认可度和接受度也日益提升。安全和合规不仅是电子签产品的基本保障,更是驱动用户购买决策的核心要素之一。产品研发中心总经理李琳表示,目前法大大已经形成了一套独特的安全规范体系,其中包含了详细的产品安全设计规范、安全开发规范和运维安全规范,公司也建立了一套安全技能和意识的培训体系,让整个团队充分了解具体的安全性的把控和实践。除了产品和安全方面的优势之外,法大大在面向伙伴的生态战略布局方面的持续发力也是持续增长的核心动力。法大大的生态伙伴体系已经从过去的广泛生态演变为以客户为中心的深度生态系统阶段,与众多企业建立安全合作伙伴关系,持续关注和跟踪电子合同领域的最新发展和趋势,共同推动电子合同领域的安全发展和创新。目前的客户及合作伙伴包括:腾讯、微软(中国)、SAP、美团、携程、徐工集团、格力、中国电信、太平鸟、海底捞、保利地产等。
02.Authing + 法大大碰撞出新的火花
随着业务线的增加,法大大需要重新划分各部门的职责和权限,以确保各项工作有序进行。例如,在电子签名和合同管理方面,研发部门负责平台开发,产品部门负责功能设计,客户支持部门负责用户培训和问题解决。职责划分不清会导致技术部门和产品部门在功能开发上出现重叠,客户支持部门在用户反馈处理上与其他部门沟通不畅。随着员工数量的增加和岗位的多样化,如何有效地进行员工身份和权限管理,确保系统安全和数据隐私,成为我们关注的重点。最终,法大大想要外采一款身份管理平台来解决这一问题,简化身份验证和权限管理流程,实现自动化管理,确保系统安全性和数据隐私保护。作为国内领先的电子签厂商,法大大必须确保用户数据和系统的绝对安全。产品研发中心总经理李琳提起,“当时我们对市面上身份相关厂商进行了严格的评估,包括数据保护措施、加密技术、访问控制和身份验证机制等,以确保厂商提供的产品功能符合需求并具备足够的安全性。我们深入分析了多个潜在合作伙伴的技术和方案,Authing 的产品特别是在安全性和功能全面性上,给我们留下了深刻的印象。”法大大选择 Authing 作为合作伙伴,不仅因为其在技术上的卓越表现,还因为它能够提供一整套完整的身份管理解决方案,这对于法大大实现安全的员工身份验证和访问管理至关重要。李琳说道,“Authing 的产品不仅符合我们的所有技术和安全要求,而且在用户体验和功能全面性上也达到了我们的期望。这次合作让我们看到了未来的无限可能,我们相信与 Authing 的合作将为法大大的业务发展注入新的活力,提供更加安全、高效和优质的用户体验。”目前,法大大主要使用了 Authing 的单点登录(SSO)产品和统一权限管理系统。
重复登录太繁琐?一次登录访问所有系统Authing 的单点登录(SSO)简化了法大大员工的登录流程。在这之前,员工在访问多个系统和应用时需要输入不同的用户名和密码,这不仅耗费时间,还可能导致密码管理上的困扰。Authing 预集成 2000+ 应用,能帮助企业快速实现单点登录。用户只需登录一次,即可高效安全访问所有应用系统,管理员只需一处即可管理所有用户身份体系。在确保安全性和用户体验的前提下,为用户提供安全、便捷的登录访问体验。将多套关联账户绑定至用户唯一的手机号/邮箱,统一应用矩阵的账号体系,减少重复登录。法大大的 IT 团队与 Authing 的技术团队合作,将项目管理系统、CRM 系统等应用系统与 Authing 的 SSO 平台进行集成。每个员工的多个关联账户被绑定到其唯一的手机号或邮箱,统一应用矩阵的账号体系。管理员通过 Authing 平台集中管理用户身份体系和权限设置,确保不同角色的员工只能访问与其职责相关的系统和信息。
结合自动化权限管理,安全之上多一重便捷随着企业业务的不断扩展和复杂化,涉及资源共建共享和跨部门协同协作等,用户的角色和资源授权关系复杂且常常发生变化,企业管理员对各个系统的使用情况难以把控,数据安全需进一步强化。Authing 的统一权限管理系统实现了权限设置的集中管理,确保员工只能访问与其角色和职责相关的信息和系统,降低了未经授权访问的风险,确保公司遵循了相关的数据保护法规和内控要求。当员工入职、离职或组织架构变动时, 能自动触发管理流程并进行权限的申请、审批、开关,能有效减少管理成本,和规避漏关/错开权限带来的数据泄漏风险。当有新员工加入法大大时,HR 在 Authing 系统中添加新员工信息,系统自动触发权限申请和审批流程。项目经理根据新员工的角色和职责,为其分配相应的访问权限。员工离职时,系统同样自动触发权限回收流程,确保前员工的所有访问权限在离职当天即时失效,避免潜在的数据泄漏风险。
03.“AI + ” 时代,法大大对于行业有哪些思考?
从最初的“互联网+”时代到如今的“人工智能+”时代,技术的融合与演进为企业带来了前所未有的发展机遇。在这个新时代背景下,企业带来了全新的发展机遇与挑战。AI 也带来了隐私数据泄露、算法偏见、对抗性攻击以及深度伪造等安全问题。面对这些挑战,法大大将不断加强数据隐私保护,确保个人信息在处理过程中得到充分保护,提高算法的透明度,以便更好地理解和监控其决策过程。同时,推动技术标准化和跨学科合作,以及持续的技术创新,将有助于解决这些安全问题,确保 AI 技术的安全、可靠和可持续发展。在电子签领域,AI 技术可在智能合同起草、合规风险管理、智能合同归档、签署过程监控和自动化审批等方面实现重要进步。AI 能够帮助企业提高效率,简化流程,推动数字化签名的进一步发展。产品研发中心总经理李琳表示,“目前正积极探索将 AI 技术应用于我们的产品和服务中,计划推出一系列 AI 原生驱动的解决方案,为用户提供更智能、高效的服务,满足不断变化的市场需求。”
·
2024.08.19
·1131 人阅读
Authing 入选“北京市 2024 年第二季度专精特新中小企业”
近日,按照工业和信息化部《优质中小企业梯度培育管理暂行办法》(工信部企业〔2022〕63号)、《北京市优质中小企业梯度管理实施细则》要求,北京市经济和信息化局中小企业处发布了《关于对北京市2024年第二季度专精特新中小企业名单进行公示的通知,Authing 入选 2024 年第二季度"专精特新中小企业"认定。“专精特新”是指具有“专业化、精细化、特色化、新颖化”四大优势的企业。这充分体现了对 Authing 的技术、产品和服务能力的肯定,是对公司向专精特新方向高质量发展所取得成绩的高度认可。
Authing 的“专精特新”之路Authing 在发展的过程中,坚持走“专精特新”的道路,通过深耕技术领域、不断创新,逐步打造出了独具特色的身份管理解决方案。
专:Authing 专注于身份认证和管理这一核心领域,致力于为企业提供高效、安全的身份管理平台。通过持续投入研发,Authing 打造了以身份认证为核心的多种产品和服务,涵盖单点登录 ( SSO )、权限管理、用户身份认证等多个方面。专注使 Authing 能够在竞争激烈的市场中保持领先地位,为客户提供专业、定制化的解决方案。
精:Authing 追求卓越的技术实现和精细化的产品打磨。公司注重每一个细节,从产品设计到用户体验,始终以最高的标准要求自己。通过不断优化算法、提升系统性能,Authing 在保证安全性的同时,也实现了产品的易用性和高效性。精益求精的态度让 Authing 在身份管理领域树立了良好的口碑,赢得了众多企业的信赖。
特:Authing 的特色在于其灵活且强大的身份管理能力。它不仅提供传统的身份认证服务,还结合了现代化的技术趋势,推出了具有高度可定制化的身份管理平台,适用于不同行业和场景的需求。Authing 的产品能支持多种身份认证方式的同时,还能与企业的现有系统无缝集成,帮助企业实现一体化的身份管理。这份独特性使 Authing 在市场中脱颖而出,成为企业在数字化转型中不可或缺的合作伙伴。
新:创新是 Authing 不断前行的动力。在技术日新月异的今天,Authing 积极探索并应用最新的技术趋势,如人工智能、区块链等,不断推陈出新,提升产品的智能化和安全性。通过引入前沿技术,Authing 能够应对企业在数字化转型中的各种挑战,提供更为智能和前瞻的解决方案。Authing 的创新不仅体现在产品功能的升级上,更体现在对未来身份管理发展方向的深刻洞察和引领。本次审评的通过,标志着 Authing 专注细分行业领域,走“专精特新”之路,促进公司进一步实现战略目标,对未来发展具有积极意义。Authing 的“专精特新”之路,不仅是企业自身发展的重要战略,也是其为客户创造更多价值、引领行业发展的核心所在。
·
2024.08.19
·1226 人阅读
三种权限模型该如何选择?看完这篇就够了
在构建企业级平台或复杂应用系统时,权限管理是一个至关重要的环节。它决定了哪些用户可以访问哪些资源,以及可以进行哪些操作,一个健全的权限管理架构,在确保系统正常运行的同时,也能有效防止数据泄露和非法访问,从而为企业带来可信赖的信息保障。选择合适的权限模型,不仅能保障系统的安全性,还能提升管理效率。为了满足身份管理法规要求并规避风险,企业必须清点、分析和管理用户的访问权限。然而,面对多种不同的权限模型,企业应该如何做出正确的选择呢?
01.权限管理面临困境
权限复杂度增加,管理难度加大随着企业规模的扩大和业务的多样化,权限管理的复杂性也随之增加。不同部门、岗位、员工的权限需求各不相同,加之企业内部组织结构的频繁变动,导致权限的设置和调整变得非常复杂。管理者可能难以全面掌控每个用户的具体权限,容易出现权限交叉、权限重叠、或不必要的权限扩大,导致管理难度加大。权限的无序扩展不仅增加了管理者的工作负担,还可能导致敏感数据的泄漏和滥用风险。但传统权限管理方法无法实现细粒度的权限授予,缺乏统一的权限实体,难以贴合业务现况。
权限变更不及时,安全隐患增加企业中的权限变更往往滞后于实际的业务需求。例如,当员工离职、岗位调动或职责发生变化时,权限可能不会及时调整或撤销,导致前员工仍然拥有对敏感系统或数据的访问权限。权限延迟会增加数据泄露和系统滥用的风险。如果员工岗位调动时,权限未及时更新,新岗位的员工可能获得不必要的权限,而旧岗位的权限则可能被滥用,为企业的数据安全带来了极大的风险。
缺乏统一标准,权限管理不规范在缺乏统一权限管理标准的企业中,权限分配往往依赖于个人的判断或临时需求,导致权限设置不一致,缺乏系统性和规范性。不同部门或系统可能采用不同的权限管理方法,增加了整体管理的复杂性,也可能导致权限管理的盲点或疏漏,最终影响企业的安全性和合规性。例如,在某个部门中,员工的权限可能是根据其直接主管的判断分配的,而在另一个部门,权限分配则可能基于过去的惯例或紧急情况的需要。但差异化的权限管理方法,虽然在短期内能够满足部门的需求,但长期来看,会给企业的整体管理带来极大的复杂性。在面对权限管理中的诸多挑战时,企业引入权限模型来管理员工权限显得尤为重要。通过权限模型,企业能够更加系统化、规范化地管理和分配员工的权限,避免权限设置的混乱和不一致,提升管理效率,并有效减少安全隐患。但三种权限模型分别是哪三种?他们之间有何区别?企业应该如何选择呢?
02.三大权限模型介绍
什么是基于角色的访问控制(RBAC)基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)授权其相关权限,这实现了更灵活的访问控制,相比直接授予用户权限,要更加简单、高效、可扩展。
当使用 RBAC 时,通过分析系统用户的实际情况,基于共同的职责和需求,授予他们不同角色。你可以授予给用户一个或多个角色,每个角色具有一个或多个权限,这种 用户-角色、角色-权限 间的关系,让我们可以不用再单独管理单个用户,用户从授予的角色里面继承所需的权限。以一个简单的场景(Gitlab 的权限系统)为例,用户系统中有 Admin、Maintainer、Operator 三种角色,这三种角色分别具备不同的权限,比如只有 Admin 具备创建代码仓库、删除代码仓库的权限,其他的角色都不具备。
我们授予某个用户「Admin」这个角色,他就具备了「创建代码仓库」和「删除代码仓库」这两个权限。不直接给用户授权策略,是为了之后的扩展性考虑。比如存在多个用户拥有相同的权限,在分配的时候就要分别为这几个用户指定相同的权限,修改时也要为这几个用户的权限进行一一修改。有了角色后,我们只需要为该角色制定好权限后,给不同的用户分配不同的角色,后续只需要修改角色的权限,就能自动修改角色内所有用户的权限。
什么是基于属性的访问控制(ABAC)?
ABAC 是一种基于用户属性、资源属性、环境属性和操作属性等多种属性进行访问控制的权限管理模型。通过将这些属性进行组合和关联,形成一个多维度的访问控制策略,实现动态的访问控制。当用户发起访问请求时,ABAC 会根据请求中的属性信息和预先定义的策略进行匹配和评估,最终决定是否允许该请求。适用于需要细粒度访问控制、权限策略需要动态调整的场景。ABAC主要包括策略定义和策略评估两个过程:
策略定义:策略定义决定了哪些用户可以访问哪些资源,以及如何进行访问控制。策略定义可以通过编写规则、表达式或脚本等方式来实现。
策略评估:当用户发起访问请求时,ABAC 的评估引擎会根据请求中的属性信息和策略规则进行匹配和计算,最终得到一个访问控制决策结果。
在系统中实现 ABAC 需要考虑到系统的架构、性能、安全性等因素。一般来说,可以将 ABAC 作为一个独立的权限管理模块集成到系统中,或者将 ABAC 的实现与现有的 RBAC 或其他权限管理模型进行结合。ABAC 基于用户、资源、环境等多种属性实现高度细粒度的权限控制,可以根据属性变化实时调整权限。适用于需要处理大量数据和用户,需要动态和细粒度管控以及确保不同租户之间的数据隔离等对数据安全和隐私保护有严格要求的场景。什么是下一代访问控制模型 (NGAC )NGAC,即下一代访问控制。NGAC 可以实现系统化、策略一致的访问控制方法,以高精细度授予或拒绝用户管理能力。NGAC 使用图的概念以简单、集中的方式管理访问。它可以在任何组织规模下线性扩展,并且不会出现性能问题。它最大的好处是灵活性——它可以允许基于对象属性、时间、位置或任何其他标准进行访问。NGAC 的另一个独特功能是它支持实时访问,例如,它可以授予承包商对资源的一次性访问权以进行维护,然后自动撤销访问权。
面向场景
NGAC 是基于这样一个假设:你可以用一个图来表示你要保护的系统,这个图代表了你要保护的资源和你的组织结构,这个图对你有意义,并且符合你的组织语义。在这个对你的组织非常特殊的模型之上,你可以叠加策略。在资源模型和用户模型之间,定义了权限。其本质上就是创建了一个图,以对每个组织都有意义的方式对用户想要保护的资源和组织结构进行建模。基于此自定义的组织模型,管理员可以添加访问策略和权限。这样 NGAC 提供了一种优雅的方式来表示你要保护的资源,系统中的不同角色,以及如何用权限把这两个世界联系在一起。
03.我该如何选择使用哪种权限模型
在这里,组织的规模是至关重要的因素。由于 ABAC 最初的设计和实施困难,对于小型企业而言,考虑起来可能太复杂了。对于中小型企业,RBAC 是 ABAC 的简单替代方案。每个用户都有一个唯一的角色,并具有相应的权限和限制。当用户转移到新角色时,其权限将更改为新职位的权限。这意味着,在明确定义角色的层次结构中,可以轻松管理少量内部和外部用户。但是,当必须手动建立新角色时,对于大型组织而言,效率不高。一旦定义了属性和规则,当用户和利益相关者众多时,ABAC 的策略就更容易应用,同时还降低了安全风险。简而言之,如果满足以下条件,请选择 ABAC:
你在一个拥有许多用户的大型组织中;
你需要深入的特定访问控制功能;
你有时间投资远距离的模型;
你需要确保隐私和安全合规;
但是,如果满足以下条件,请考虑 RBAC:
你所在的是中小型企业;
你的访问控制策略广泛;
你的外部用户很少,并且你的组织角色得到了明确定义;
如果想要更加细粒度的权限模型,请考虑 NGAC:
NGAC 通过采用一种新颖且巧妙的方法,解决了传统访问控制模型中的这些不足:它在用户提供的现有世界表示之上叠加访问策略。在 NGAC 模型中,你同样可以对 RBAC 和 ABAC 策略进行建模。在 ABAC(基于属性的访问控制)中,需要持续跟踪所有对象的属性,给管理带来了极大的负担。而 RBAC(基于角色的访问控制)虽然减少了这一负担,因为它提取了所有角色的访问信息,但这种模式容易导致角色爆炸问题,最终同样难以管理。而 NGAC 以一种紧凑、集中的方式提供了我们所需的一切,简化了管理的复杂性。下表从几个方面对 ABAC、RBAC 和 NGAC 进行了比较。
04.如何将权限模型集成至你的应用
集成 RBAC 权限模型到你的应用系统
创建角色
你可以使用 Authing 控制台创建角色:在权限管理 - 角色管理中,点击添加角色按钮:· 角色 code: 该角色的唯一标志符,权限分组内具有唯一性,只允许包含英文字母、数字、下划线 _、横线 -,这里我们填 admin。· 角色描述:该角色的描述信息,这里我们填管理员。
授权用户角色
在角色详情页面,你可以将此角色授权给用户。你可以通过用户名、手机号、邮箱、昵称搜索用户。选择用户之后点击确认,你可以查看被授权此角色的用户列表。
在后端通过用户角色控制权限
当用户成功认证、获取到 Token 之后,你可以解析到当前用户的 ID,接下来你可以使用我们提供的 API & SDK 在后端获取该用户被授予的角色,这里以 Node SDK 为例,我们同时还支持 Python、Java、C#、PHP 等语言的 SDK 。首先获取用户的被授予的所有角色列表:
import { ManagementClient } from 'authing-js-sdk'const managementClient = new ManagementClient({userPoolId: 'YOUR_USERPOOL_ID',secret: 'YOUR_USERPOOL_SECRET',})const { totalCount, list } = await managementClient.users.listRoles('USER_ID')得到用户的所有角色之后,我们可以判断该用户是否具备 devops 这个角色:
if (!list.map((role) => role.code).includes('devops')) {throw new Error('无权限操作!')}
创建资源上一步我们通过用户是否具备某个角色来控制权限,这种权限控制还是比较粗粒度的,因为只判断了用户是否具备某个角色,而没有判断其是否具备某个特定的权限。Authing 在基于角色的访问控制模型(RBAC)的基础上,还能够围绕资源进行更细粒度的授权。你可以把系统的一些对象抽象为资源,在这些资源上可以定义了一些操作。比如在本文的场景中,Repository、Tag、PR、Release Notes 都是资源,且这些资源都有对应的操作:· Repository:创建、删除等。· PR:开启、评论、合并等。· Tag:创建、删除等。· Release Notes:创建、阅读、编辑、删除等。
授权角色操作资源的权限Authing 还同时支持给用户、角色授权,如果用户在某个角色中,他也将继承这个角色被授权的权限。所以 Authing 既能够实现标准的 RBAC 权限模型,也能在这基础上进行更细粒度、更动态的权限控制。比如下面这个例子中,我们给 admin 这个角色授权了 repository 资源的 Create 和 Delete 权限:
在后端判断用户是否具备权限在上一步我们通过资源授权,做到了授权给某个用户(角色)对某个特定资源的特定操作权限,我们在后端进行接口鉴权的时候,就可以做更细粒度的判断了:这里以 Node SDK 为例,我们同时还支持 Python、Java、C#、PHP 等语言的 SDK 。调用 managementClient.acl.isAllowed 方法,参数分别为:· userId: 用户 ID,用户可以被直接授权特定资源的操作,也可以继承角色被授权的权限。· resource: 资源标志符,如 repository:123 表示 ID 为 123 的代码仓库,repository:* 表示代码仓库这一类资源。· action: 特定操作,如 repository:Delete 表示删除代码仓库这个操作。· options: 其他选项,可选options.namespace,资源所属权限分组 code
import { ManagementClient } from 'authing-js-sdk'const managementClient = new ManagementClient({userPoolId: 'YOUR_USERPOOL_ID',secret: 'YOUR_USERPOOL_SECRET',})const { totalCount, list } = await managementClient.acl.isAllowed('USER_ID','repository:123','repository:Delete')Authing 策略引擎会根据你配置的权限策略,动态执行策略,最后返回 true 或者 false,你只需要根据返回值就能判断用户是否具备操作权限。集成 ABAC 权限模型到你的应用系统在上面介绍了如何将 RBAC 权限模型的集成方法,相信你也意识到了,RBAC 权限模型是静态的,也就是没有环境、对象属性等动态属性参与,所以很难实现类似于以下场景的访问控制:· 当一个文档的所属部门跟用户的部门相同时,用户可以访问这个文档;· 当用户是一个文档的拥有者并且文档的状态是草稿,用户可以编辑这个文档;· 早上九点前禁止 A 部门的人访问 B 系统;· 在除了上海以外的地方禁止以管理员身份访问 A 系统;
ABAC 的主要组成部分在 ABAC 中,一个操作是否被允许是基于对象、资源、操作和环境信息共同动态计算决定的。· 对象:对象是当前请求访问资源的用户。用户的属性包括ID,个人资源,角色,部门和组织成员身份等;· 资源:资源是当前访问用户要访问的资产或对象(例如文件,数据,服务器,甚至API)。资源属性包含文件的创建日期,文件所有者,文件名和类型以及数据敏感性等等;· 操作:操作是用户试图对资源进行的操作。常见的操作包括“读取”,“写入”,“编辑”,“复制”和“删除”;· 环境:环境是每个访问请求的上下文。环境属性包含访问尝试的时间和位置,对象的设备,通信协议和加密强度等。
ABAC 如何使用属性动态计算出决策结果在 ABAC 的决策语句的执行过程中,决策引擎会根据定义好的决策语句,结合对象、资源、操作、环境等因素动态计算出决策结果。每当发生访问请求时,ABAC 决策系统都会分析属性值是否与已建立的策略匹配。如果有匹配的策略,访问请求就会被通过。例如,策略「当一个文档的所属部门跟用户的部门相同时,用户可以访问这个文档」会被以下属性匹配:· 对象(用户)的部门 = 资源的所属部门;· 资源 = “文档”;· 操作 = “访问”;策略「早上九点前禁止 A 部门的人访问B系统;」会被以下属性匹配:· 对象的部门 = A 部门;· 资源 = “B 系统”;· 操作 = “访问”;· 环境 = “时间是早上 9 点”。
在 Authing 中授权资源的时候指定限制条件
我们在授权资源的时候,可以指定限制条件。例如在下面的例子中,我们添加了一个限制条件:要求当前请求的用户经过了 MFA 认证。
除了 MFA 认证这个属性外,你还可以在 Authing 的策略引擎上下文中获取以下属性:· 用户对象属性,如性别、组织机构、分组、角色、邮箱是否验证、手机号是否验证、自定义数据、是否经过了 MFA 认证、用户上次 MFA 认证时间等;· 环境属性:客户端 IP、客户端 UA、客户端浏览器、请求来源国家、请求来源省份、请求来源城市等;· 资源属性:资源创建时间、资源拥有者、资源标签等;你可以根据这些属性组成灵活的策略授权语句。集成 NGAC 权限模型到你的应用系统NGAC 是最好的一种模型。选择 NGAC 的理由其实和选择图数据库还是关系型数据库上做对比。为什么选择图数据库?因为业务是不断变化的,这就导致了数据模型是经常变化的,用关系型数据库需要不停变更元字段、关联关系和查询语句以匹配业务需求,而用图模型只需要改变两个数据之间的连接关系,如下所示:
同样是表示一种多层级关系,用图数据库是符合人类的直觉的,而用关系型数据库,却需要建多个表做联合查询。不管是 RBAC 还是 ABAC 都是关系型数据库的关联关系模型,而 NGAC 是跳脱出关联模型的图模型,这也是为什么 NGAC 被称作下一代访问控制。虽然 NGAC 模型已经很好,但以上所有这些模型都有一个致命的缺陷 —— 没有计算能力。而 OPA 是具有计算能力的 NGAC 模型。OPA 就是遵循同样理念的,对权限模型重新设计的权限编程语言。他既有 NGAC 的表现能力,又有 Prolog 的计算能力。Authing 将 OPA 作为决策引擎,改善自适应认证、自适应 MFA 和持续认证能力,底层模型全面改由 OPA 支撑,并为用户提供 Rego 编程语言达到完全定制化的权限模型定义和计算。Authing IDaaS 提供基于 OPA 引擎的 RBAC & ABAC 权限管理模型,既可以管理业务中的实体资源,也可以管理数据、API、菜单、按钮等细颗粒度权限控制。不仅如此,Authing IDaaS 完善 OPA 计算监控、请求监控、决策监控、决策设计器、代码编写,覆盖决策和决策计算的全生命周期,成为下一代决策引擎和风控引擎。
·
2024.08.12
·1590 人阅读